Empresa de turbinas eólicas Nordex atingida por ataque de ransomware

20/04/2022 mindsecblog Notícias 1

Empresa de turbinas eólicas Nordex atingida por ataque de ransomware, o grupo Conti reinvindicou a autoria.

A operação de ransomware Conti reivindicou a responsabilidade por um ataque cibernético à gigante de turbinas eólicas Nordex, que foi forçada a desligar os sistemas de TI e o acesso remoto às turbinas gerenciadas no início deste mês.

Nordex é um dos maiores desenvolvedores e fabricantes de turbinas eólicas do mundo, com mais de 8.500 funcionários em todo o mundo.

Em 2 de abril, a Nordex divulgou que havia sofrido um ataque cibernético detectado precocemente e que a empresa havia desligado seus sistemas de TI para impedir a propagação do ataque.

“A intrusão foi observada em um estágio inicial e as medidas de resposta foram iniciadas imediatamente de acordo com os protocolos de gerenciamento de crises. Como medida de precaução, a empresa decidiu encerrar os sistemas de TI em vários locais e unidades de negócios“, explicou o comunicado de imprensa original da Nordex .

Em 31 de março de 2022, a segurança de TI do Nordex Group detectou que a empresa está sujeita a um incidente de segurança cibernética. A intrusão foi observada em um estágio inicial e as medidas de resposta foram iniciadas imediatamente, de acordo com os protocolos de gerenciamento de crises. Como medida de precaução, a empresa decidiu encerrar os sistemas de TI em vários locais e unidades de negócios.

O BleepingComputer publicou que a empresa sofreu um ataque de ransomware Conti que fez com que toda a plataforma ficasse offline, no entanto a Nordex não sabia de onde vinha o ataque e estava iniciando suas investigações.

A Nordex divulgou uma declaração atualizada explicando que eles também desabilitaram o acesso remoto a turbinas gerenciadas para proteger os ativos dos clientes. Eles afirmam ainda que sua investigação mostra que o ataque foi restrito aos seus próprios sistemas internos e não se espalhou para os ativos dos clientes.

A equipe de resposta a incidentes de especialistas em segurança internos e externos foi criada imediatamente para conter o problema e evitar uma maior propagação e avaliar a extensão da exposição potencial.
Clientes, funcionários e outras partes interessadas podem ser afetados pelo desligamento de vários sistemas de TI. O Grupo Nordex fornecerá mais atualizações quando mais informações estiverem disponíveis.

“Em estreita cooperação com as autoridades relevantes, a equipe de resposta a emergências de especialistas internos e externos de TI vem realizando extensas investigações e análises forenses”, diz a atualização da Nordex sobre o ataque cibernético.

“Os resultados preliminares da análise sugerem que o impacto do incidente foi limitado à infraestrutura interna de TI. Não há indicação de que o incidente tenha se espalhado para quaisquer ativos de terceiros ou para além da infraestrutura interna de TI da Nordex”

En novembro passado outra produtora dinamarquesa de turbinas eólicas, a Vestas, sofreu um ataque de ransomware foi afetada pela operação de ransomware LockBit.

Ransomware Conti reivindica ataque à Nordex

A operação de ransomware Conti alegou que eles estavam por trás do ataque ao Nordex.

No entanto, até a publicação, a gangue do ransomware não vazour nenhum dado, indicando que a empresa poderia estar negociando com os agentes da ameaça ou que nenhum dado foi roubado durante o ataque

**Ransomware Conti reivindica ataque à Nordex**

Quem é Conti?

O Conti ransomware é uma operação privada de Ransomware-as-a-Service (RaaS) que se acredita ser controlada por um grupo de crimes cibernéticos com sede na Rússia rastreado como Wizard Spider , conhecido por outras infecções de malware notórias, incluindo Ryuk, TrickBot e BazarLoader.

A Conti compartilha parte de seu código com o notório Ryuk Ransomware , cujos canais de distribuição TrickBot eles começaram a usar depois que a atividade de Ryuk começou a desacelerar em julho de 2020.

A gangue de crimes cibernéticos violou o Health Service Executive (HSE) da Irlanda e seu Departamento de Saúde (DoH) , pedindo ao primeiro que pagasse um resgate de US$ 20 milhões depois de criptografar seus sistemas.

Embora o DoH tenha impedido a Conti de criptografar seus sistemas , o HSE não teve a mesma sorte e foi forçado a derrubar todos os sistemas de TI para evitar que o ransomware se espalhasse por sua rede.

Após o ataque ao sistema público de saúde da Irlanda, a gangue Conti lançou um decodificador gratuito para o HSE , enquanto avisava que ainda vazaria ou venderia os dados roubados de sua rede.

Em agosto, um afiliado descontente vazou os materiais de treinamento da gangue , incluindo informações sobre um de seus operadores, um manual sobre a implantação de várias ferramentas, como Cobalt Strike e mimikatz, e vários documentos de ajuda supostamente fornecidos aos afiliados da Conti.

A Conti geralmente obtém acesso a uma rede corporativa depois que um dispositivo é infectado com as infecções por malware BazarLoader ou TrickBot por meio de um ataque de phishing.

Enquanto se espalham por uma rede, os agentes de ameaças roubam arquivos e os carregam de volta para seus servidores.

Esses dados são usados como parte de ataques de dupla extorsão para pressionar as vítimas a pagar um resgate.

A gangue Conti sofreu recentemente sua própria violação de dados depois que um pesquisador ucraniano publicou quase 170.000 conversas internas de bate-papo entre os membros da gangue do ransomware Conti e o código-fonte do ransomware Conti .

Devido à atividade contínua da gangue de crimes cibernéticos, o governo dos EUA emitiu um aviso sobre os ataques de ransomware Conti .

Fonte: BleepingComputer